Meilleures pratiques de gestion des risques pour la conformité en matière de cybersécurité

Une nouvelle Conseils de la FDA concernant la gestion des risques aide fabricants de dispositifs médicaux répondre aux attentes concernant un programme efficace de cybersécurité post-commercialisation.

Cybersécurité : sécurité des patients, efficacité des produits et conformité

Il est inutile de rappeler aux fabricants de dispositifs médicaux avisés qu'un programme de cybersécurité solide est essentiel à la sécurité des patients, à l'efficacité des produits et au respect des réglementations strictes de la FDA. De graves violations présumées de cybersécurité ont récemment fait la une des journaux et devraient souligner l'importance croissante de la cybersécurité sur plusieurs fronts.

• Dispositifs médicaux - Des vulnérabilités en matière de cybersécurité ont été identifiées dans les dispositifs cardiaques implantables et l'émetteur Merlin@home de St. Jude Medical
• Hôpitaux – St. Joseph Health versera une Amende de règlement de 2.14 millions de dollars concernant des violations potentielles des règles de confidentialité et de sécurité de la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA) suite à des rapports selon lesquels des fichiers contenant des informations de santé protégées électroniquement (ePHI) ont été accessible au public via les moteurs de recherche Internet.
• Utilitaires – Le décembre 2015 cyberattaques contre les centrales électriques ukrainiennes Cela a servi de signal d’alarme pour le réseau électrique américain.

Guide de gestion des risques : cybersécurité

La FDA vient de publier l'orientation qui apporte des éclaircissements supplémentaires sur la cybersécurité la gestion des risquesEn même temps, il fournit des conseils précieux pour créer et maintenir un système de gestion de la qualité (SMQ) qui aide à identifier, hiérarchiser et atténuer les risques.

Rappels et recommandations pour les fabricants de dispositifs médicaux

S'appuyant sur un document détaillé du National Institute of Standards and Technology (« Cadre pour l'amélioration de la cybersécurité des infrastructures critiques »), la FDA utilise ses propres directives pour fournir des rappels et des recommandations aux fabricants de dispositifs médicaux. Voici quelques conseils importants :

• Définitions – Un plan complet de gestion des risques de cybersécurité doit inclure des directives claires pour le suivi de la sécurité et des performances essentielles d'un dispositif médical, des risques potentiels pour les patients en cas de problème et des critères d'acceptation des risques. Ces étapes doivent être utilisées par les fabricants de dispositifs médicaux pour hiérarchiser les vulnérabilités à corriger.
• Gestion des plaintes – La FDA note que les fabricants de dispositifs médicaux sont tenus d’analyser les plaintes, les produits retournés, les dossiers de service et d’autres sources de données de qualité pour identifier les causes existantes et potentielles de produits non conformes ou d’autres problèmes de qualité.
• L'évaluation des risques - La FDA recommande aux fabricants de dispositifs médicaux de caractériser et d'évaluer les vulnérabilités identifiées. Une telle démarche permettra de recueillir des informations utiles au triage des problèmes détectés.
• Modélisation des menaces Les fabricants de dispositifs médicaux doivent réaliser des analyses des risques de cybersécurité incluant une modélisation des menaces pour chacun de leurs dispositifs et, surtout, les mettre à jour régulièrement. Correctement réalisée, la modélisation des menaces fournira les paradigmes traditionnels de gestion des risques et d'analyse des modes de défaillance. De plus, elle fournira aux fabricants un cadre pour évaluer la menace provenant de ce que la FDA appelle « les adversaires actifs/les utilisations malveillantes ».
• Sources de menaces, détection et impact – Les sources de menaces doivent être caractérisées par leur gravité. Les dispositifs médicaux peuvent ne pas être capables de détecter les activités malveillantes et, dans de nombreux cas, dépendront de la surveillance du réseau. La FDA recommande fortement aux fabricants de dispositifs médicaux d'évaluer l'impact d'un signal de cybersécurité à la fois horizontalement et verticalement. Dans ce contexte, l'analyse horizontale pourrait permettre de détecter un problème sur l'ensemble de la gamme de produits du fabricant. En revanche, une analyse verticale permettrait de détecter un impact éventuel sur des composants spécifiques du dispositif médical.

Violation de la cybersécurité : protection, réponse et récupération

Les directives de la FDA se concentrent sur la protection, la réponse et la reprise après une faille de cybersécurité ou tout autre problème. L'agence recommande aux fabricants de dispositifs médicaux de mettre en œuvre des fonctionnalités spécifiques, telles que des contrôles de conception, comme principal moyen d'atténuer les risques pour les utilisateurs finaux.

Explorez l'automatisation #gestion des risques solution fournie par le système de gestion de la qualité AssurX #SMQ dès aujourd'hui ! http://ow.ly/dPMT3083CvP 

— AssurX (@AssurX) 17 janvier 2017

Adopter une politique coordonnée de divulgation des vulnérabilités

La FDA exhorte également les fabricants de dispositifs médicaux à adopter une politique et des pratiques coordonnées de divulgation des vulnérabilités qui prévoient un moyen clair d'accuser réception de toute vulnérabilité auprès du soumissionnaire de la vulnérabilité dans un délai clairement défini.

Exploiter le plan de vulnérabilité en matière de cybersécurité

Une fois qu'un plan est approuvé en interne et mis en œuvre, les fabricants de dispositifs médicaux doivent l'exploiter de plusieurs manières, notamment :

• Gestion des risques - Déterminer si la menace de préjudice pour le patient soulevée par la vulnérabilité est correctement traitée et contrôlée par les fonctionnalités existantes et/ou les contrôles compensatoires définis, c'est-à-dire que les niveaux de risque résiduel ont été jugés acceptables sur la base d'un critère défendable.
• Plan d'action – Un plan d’action doit être mis en place pour refléter l’ampleur du problème identifié et l’aligner sur les risques démontrés et potentiels.
• Évaluation transparente – Les fabricants de dispositifs médicaux doivent également inclure une évaluation détaillée et transparente du risque résiduel et de tout risque introduit par la remédiation elle-même.

Amélioration ou rappel d’un dispositif médical ?

Enfin, les directives précisent que les modifications apportées pour remédier à la vulnérabilité d'un risque contrôlé sont « généralement » considérées comme des améliorations des dispositifs médicaux et non comme des rappels complets. De plus, les mises à jour régulières des programmes de cybersécurité et l'utilisation de correctifs ne sont généralement pas considérées comme une amélioration des dispositifs médicaux.

Si les services publics peuvent être violés…

Les menaces à la cybersécurité sont aussi actuelles que les gros titres de l'actualité. les services publics Une faille de sécurité a récemment été signalée, mais il est évident que les fabricants de dispositifs médicaux sont également menacés. Si la plupart des pirates informatiques ne possèdent pas les compétences de ceux qui font l'actualité aujourd'hui, il convient de noter qu'un fabricant de dispositifs médicaux est une cible bien plus facile que des institutions dotées de protections bien plus strictes et ayant déjà été piratées.

Conformité avec le système manuel de gestion des risques ?

Cybersécurité pour fabricants de dispositifs médicaux restera un thème récurrent en 2017. Comment pouvez-vous maintenir la conformité FDA si votre système actuel de gestion de la qualité solution de gestion des risques Comprend un composant manuel ? Un système automatisé de gestion de la qualité comme AssurX offre une protection supplémentaire contre les cybermenaces en fournissant des mises à jour continues et une analyse simplifiée. Agissez maintenant. Vaut-il la peine d'attendre pour savoir comment votre entreprise réagira à une faille de cybersécurité avec un processus manuel ?